Informationen zum Datenschutz

‍

In diesen Datenschutzinformationen informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung des Hinweisgebersystems. Informationen für die Datenverarbeitung bei der Bereitstellung Ihrer Daten über die Enpal Webseite sowie für Vertragsanbahnung und -durchführung als Kunde der Enpal B.V. und der Nutzung der Enpal App finden Sie in den Informationen zum Datenschutz der Enpal B.V. 

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Hierunter fallen vor allem Angaben, die Rückschlüsse auf Ihre Identität ermöglichen, beispielsweise Ihr Name, Ihre Telefonnummer, Ihre Anschrift oder E-Mail-Adresse. Aber auch bestimmte Kennungen wie Ihre IP-Adresse oder die Geräte-ID Ihres genutzten Endgerätes gehören zu personenbezogenen Daten.

‍

I. Verantwortlicher und Ansprechpartner

Ansprechpartner und sogenannter Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten bei Besuch dieser Website und der Nutzung des Hinweisgeberschutzsystems im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die

Enpal B.V.
Bödikerstraße 25
10245 Berlin
E-Mail: info@enpal.de
Telefon: +49 30 30 80 80 52

Für alle Fragen zum Thema Datenschutz in Zusammenhang mit dem Besuch dieser Website und der Nutzung des Hinweisgeberschutzsystems können Sie sich jederzeit auch an unseren Datenschutzbeauftragten wenden. Dieser ist unter der genannten postalischen Adresse sowie unter der nachfolgend angegebenen E-Mail-Adresse erreichbar. 

Sie erreichen unseren Datenschutzbeauftragten unter:

Enpal B.V.Datenschutzbeauftragter
Bödikerstr. 25, 10245 Berlin
E-Mail: datenschutz@enpal.de 

II. Datenverarbeitung bei der Nutzung des Hinweisgebersystems

Die Enpal B.V. („Enpal“ oder „wir“) setzt eine webbasierte Software ein, eine in Deutschland gehostete Cloud-Lösung, welche bei der Aufdeckung betrieblicher Missstände unterstützt. Durch die Einführung eines solchen Systems können kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen frühzeitig aufgedeckt und verhindert werden. Dadurch können nicht kalkulierbare materielle und immaterielle Schäden sowie Reputationsschäden abgewendet werden.

1. Zweck der Datenverarbeitung

Enpal verarbeitet die personenbezogenen Daten des/der Hinweisgeber(in), sofern der Hinweis nicht anonym abgegeben wurde, sowie die personenbezogenen Daten der beschuldigten Person(en), wie Name und weitere Kommunikations- und Inhaltsdaten, ausschließlich zu dem Zweck, Hinweise auf kriminelle, illegale, moralisch verwerfliche oder unlautere Handlungen auf einem sicheren und vertraulichen Wege entgegenzunehmen und diesen nachzugehen.

2. Kategorien der Datenverarbeitung im Rahmen des Hinweisgebersystems

Folgende Informationen werden bei der Nutzung des Hinweisgebersystems verarbeitet: 

• Informationen über den/die Hinweisgeber(in) (sofern diese(r) nicht anonym bleiben möchte) und den/die Beschuldigte(n), wie
  
  • Vor- und Nachname
  • Funktion/Titel
  • Kontaktdaten
  • ggf. andere auf das Arbeitsverhältnis bezogene persönliche Daten;
• Persönliche Informationen, die in den Berichten des Aufklärungsteams (siehe Ziffer 4) identifiziert wurden, einschließlich Details über die erhobenen Behauptungen und diese unterstützenden Beweise;
• Datum und Zeit der Anrufe (bei Eingang des Hinweises über die telefonische Hotline);
• Jede andere Information, die in den Untersuchungsergebnissen und in dem auf den Bericht folgenden, weiterführenden Verfahren identifiziert wurden, z. B. Informationen über strafbares Verhalten oder Daten über rechtswidriges oder unzulässiges Verhalten, soweit dies gemeldet wurde.

3. Rechtsgrundlage der Datenverarbeitung

Die Erhebung der personenbezogenen Daten des/der Hinweisgeber(in) bei einem nicht anonymen Hinweis erfolgt auf der Grundlage einer Einwilligung in die Verarbeitung durch die Übermittlung der Daten, Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten der Personen, die in der Meldung genannt werden, dient der Wahrung berechtigter Interessen von Enpal, Art. 6 Abs. 1 S. 1 lit. f DSGVO. Es ist ein berechtigtes Interesse von Enpal, Gesetzesverstöße und schwere Pflichtverletzungen von Beschäftigten zentrumsweit, wirksam und mit einem hohen Maß an Vertraulichkeit aufzudecken, zu bearbeiten, abzustellen und zu sanktionieren und damit verbundene Schäden und Haftungsrisiken für Enpal (§§ 30, 130 OWiG) abzuwenden. 

Auch die Richtlinie (EU) 2019/1937 („EU-Whistleblower-RL“) bzw. das Hinweisgeberschutzgesetz fordern die Einrichtung eines Hinweisgebersystems, um Beschäftigten und Dritten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben. 

Die Weitergabe von personenbezogenen Daten bei nicht anonymer Meldung an andere Empfänger kann aufgrund einer gesetzlichen Verpflichtung erforderlich sein, Art. 6 Abs. 1 S. 1 lit. c DSGVO.

4. Empfänger der Daten und Drittlandübermittlung

Alle personenbezogenen Daten, die über die webbasierte Software erhoben werden, werden nur denjenigen Personen zugänglich gemacht, die aufgrund ihrer Funktion eine legitime Notwendigkeit haben, diese Daten zu verarbeiten. 

Mit der ersten Bearbeitung der eingehenden Hinweise ist die DILICOman GbR, Stuttgarter Str. 37, 74211 Leingarten, beauftragt.

Geht der Hinweis über die telefonische Hotline ein, so wird der Hinweis, unter der Wahrung der Anonymität des/der Hinweisgebers/Hinweisgeberin, im Hinweisgebersystem aufgenommen. Die Mitarbeitenden der Hotline sind zur Verschwiegenheit verpflichtet (siehe weiter unten).

Bei Enpal haben nur dazu befugte Mitarbeitende aus folgenden Abteilungen Zugriff auf die Daten (Aufklärungsteam):

• Legal & Compliance;
• HR (fallbezogen). 

In einigen Fällen ist das Unternehmen verpflichtet, die Daten Behörden (wie solche, die die rechtliche oder aufsichtsrechtliche Zuständigkeit über den Arbeitgeber haben, Strafverfolgungsbehörden und juristische Organe) oder externen Beratern (wie Buchprüfern, Wirtschaftsprüfern, Rechtsanwälten) mitzuteilen.

Sofern der/die Hinweisgeber(In) seinen/ihren Namen oder andere personenbezogene Daten mitgeteilt hat (nicht anonymer Hinweis), wird die Identität– soweit rechtlich möglich – nicht offengelegt und es wird zusätzlich sichergestellt, dass dabei auch keine Rückschlüsse auf die Identität als Hinweisgeber(in) möglich werden, § 8 HinSchuG

Werden personenbezogenen Daten durch externe Dienstleister verarbeitet, so geschieht dies grundsätzlich auf Basis von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. In diesen Fällen stellen wir sicher, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO erfolgt und alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Das Hinweisgebersystem wird in unserem Auftrag von DILICOman GbR, Stuttgarter Str. 37, 74211 Leingarten, betrieben.

Eine Übermittlung von personenbezogenen Daten in Drittländer (EU/EWR-Ausland) erfolgt nicht.

5. Dauer der Verarbeitung, Löschen der Daten

Die personenbezogenen Daten werden im jeweiligen Verfahren so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung erfordert, ein berechtigtes Interesse von Enpal oder ein gesetzliches Erfordernis besteht. Danach werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht. Die Dauer der Speicherung richtet sich insbesondere nach der Schwere des Verdachts und der gemeldeten eventuellen Pflichtverletzung.

6. Technische Hinweise zur Nutzung des Hinweisgebersystems

Die Kommunikation zwischen Ihrem Rechner und dem Hinweisgebersystem erfolgt über eine verschlüsselte Verbindung (SSL). Die IP-Adresse Ihres Rechners wird während der Nutzung des Hinweisgebersystems nicht gespeichert. Zur Aufrechterhaltung der Verbindung zwischen Ihrem Rechner und dem Hinweisgebersystem wird ein Cookie auf Ihrem Rechner gespeichert, welcher lediglich die Session-ID beinhaltet. Das Cookie ist nur bis zum Ende Ihrer Session gültig und wird beim Schließen des Browsers ungültig.

7. Nutzung von Friendly Captcha

Die Webseite des Hinweisgebersystems nutzt den Dienst „Friendly Captcha“ (www.friendlycaptcha.com). 

Dieser Dienst ist ein Angebot der Friendly Captcha GmbH, Am Anger 3-5, 82237 Wörthsee, Deutschland. Friendly Captcha ist eine neuartige, datenschutzfreundliche Schutzlösung, um die Nutzung unserer Webseite durch automatisierte Programme und Skripte (sogenannte „Bots“) zu erschweren. 

Wir haben hierzu in unsere Anwendung vor Absendung einer Meldung einen Programmcode von Friendly Captcha integriert, damit das Endgerät des Besuchers eine Verbindung zu den Servern von Friendly Captcha aufbauen kann, um von Friendly Captcha eine Rechenaufgabe zu erhalten. Das Endgerät des Besuchers löst die Rechenaufgabe, wodurch gewisse Systemressourcen in Anspruch genommen werden, und schickt das Rechenergebnis an unseren Webserver. Dieser nimmt über eine Schnittstelle Kontakt zum Server von Friendly Captcha auf und erhält als Antwort, ob die Rechenaufgabe vom Endgerät richtig gelöst wurde. Abhängig vom Ergebnis können wir Anfragen über unsere Webseite mit Sicherheitsregeln versehen und sie so beispielsweise weiterbearbeiten oder ablehnen. 

Die Daten werden ausschließlich zum oben beschriebenen Schutz vor Spam und Bots verwendet. Durch Friendly Captcha werden keine Cookies auf dem Endgerät des Besuchers gesetzt oder ausgelesen. IP-Adressen werden nur in gehashter (einwegverschlüsselter) Form gespeichert und erlauben uns und Friendly Captcha keinen Rückschluss auf eine Einzelperson. Wenn personenbezogene Daten gespeichert werden, werden diese Daten binnen 30 Tagen gelöscht. 

Rechtsgrundlage für die Verarbeitung sind unsere berechtigten Interessen am Schutz unserer Webseite vor missbräuchlichen Zugriff durch Bots, mithin dem Spam-Schutz und dem Schutz vor Angriffen (z.B. Massenanfragen), Art. 6 Abs. 1 lit. f DSGVO. 

Weitere Informationen zum Datenschutz beim Einsatz von Friendly Captcha finden Sie unter https://friendlycaptcha.com/legal/privacy-end-users/.

III. Betroffenenrechte

Ihnen stehen jederzeit bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen die in den Art. 7 Abs. 3, Art. 15 - 21 DSGVO formulierten Betroffenenrechte zu:

1. Recht auf Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO)

Haben Sie als Rechtsgrundlage für die Verarbeitung Ihrer Daten durch uns Ihre Einwilligung zum Beispiel nach Art. 6 Abs. 1 S. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO erklärt, so können Sie gemäß Art. 7 Abs. 3 DSGVO diese Einwilligung jederzeit widerrufen. Wenn Sie dies tun, stellen wir die Verarbeitung Ihrer Daten ein, allerdings bleibt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf von dem Widerruf unberührt.

2. Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten (Art. 15 DSGVO)

Sie haben gemäß Art. 15 DSGVO jederzeit das Recht, von uns Auskunft über alle Daten zu verlangen, die wir über Sie speichern. Das beinhaltet insbesondere die Auskunft über 

• die Zwecke, zu denen wir Ihre Daten verarbeiten,
• die Kategorien von Daten, die wir von Ihnen verarbeiten,
• die konkreten Empfänger oder, sollten diese nicht bekannt sein, die Kategorien von Empfängern, an die wir Ihre Daten übermitteln,
• die Dauer, für die wir Ihre Daten speichern oder, sollte diese nicht bestimmbar sein, die Kriterien, unter denen wir Ihre Daten speichern, und
• gegebenenfalls die Herkunft der Daten, falls wir diese nicht bei Ihnen erhoben haben.

Beim Auskunftsrecht sind die Einschränkungen nach §§ 34 und 35 Bundesdatenschutzgesetz zu berücksichtigen.

3. Recht auf Berichtigung Ihrer bei uns unrichtig gespeicherten personenbezogenen Daten (Art. 16 DSGVO)

Sollten Ihre Daten, die bei uns verarbeitet werden, unrichtig oder unvollständig sein, so können Sie von uns jederzeit die Berichtigung oder Vervollständigung dieser Daten nach Art. 16 DSGVO verlangen.

4. Recht auf Löschung (Art. 17 DSGVO)

Sollte die ursprüngliche Rechtsgrundlage für die Datenverarbeitung nicht mehr greifen oder haben Sie Ihre Einwilligung widerrufen oder der Verarbeitung widersprochen oder dürfen wir Ihre Daten aus einem anderen der in Art. 17 Abs. 1 DSGVO genannten Gründe nicht weiterverarbeiten, so können Sie von uns nach Art. 17 DSGVO die Löschung der Sie betreffenden personenbezogenen Daten verlangen.

Dieses Recht steht Ihnen nicht zu, wenn die Verarbeitung zur Ausübung der Meinungs- und Informationsfreiheit oder zur Wahrung öffentlicher Interessen erforderlich ist, eine dahingehende Rechtspflicht besteht oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.

Beim Löschungsrecht sind die Einschränkungen nach §§ 34 und 35 Bundesdatenschutzgesetz zu berücksichtigen.

5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Gemäß Art. 18 DSGVO können Sie auch die Einschränkung der Verarbeitung verlangen. Dieses Recht steht Ihnen zu, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten für die angegebenen Zwecke nicht mehr benötigen oder Sie der Verarbeitung widersprochen haben und wir die Daten in den beiden letztgenannten Fällen nicht anderweitig rechtmäßig weiterverarbeiten dürfen.

6. Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage von berechtigten Interessen verarbeiten, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen aus Gründen, die sich aus Ihrer besonderen Situation ergeben. Geht es um einen Widerspruch gegen die Datenverarbeitung zu Zwecken der Direktwerbung, haben Sie ein generelles Widerspruchsrecht, das auch ohne die Angabe von Gründen von uns umgesetzt wird.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine formlose Mitteilung an datenschutz@enpal.de.

7. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Außerdem können Sie von uns nach Art. 20 DSGVO die Übertragung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format an sich selbst oder einen anderen Verantwortlichen verlangen.

8. Sonstige Rechte

Darüber hinaus besteht das Recht zur Beschwerde bei der Datenschutzaufsichtsbehörde gem. Art. 77 DSGVO i.V.m. § 19 BDSG. Sie können dieses Recht beispielsweise bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. In Berlin, unserem Sitz, ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin.

Ihre Anfragen zur Geltendmachung von Datenschutzrechten und unsere Antworten darauf werden zu Dokumentationszwecken für die Dauer von bis zu drei Jahren und im Einzelfall bei gegebenem Anlass zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auch darüber hinaus aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, beruhend auf unserem Interesse an der Verteidigung gegen etwaige zivilrechtliche Ansprüche nach Art. 82 DSGVO, der Vermeidung von Bußgeldern nach Art. 83 DSGVO sowie der Erfüllung unserer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

IV. Automatisierte Entscheidungsfindung und Profiling

Im Rahmen des Betriebs der Enpal Website oder der Vertragsanbahnung und -durchführung findet weder eine automatisierte Entscheidungsfindung noch Profiling im Sinne des Art. 22 DSGVO statt, welche Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

V. Änderung der Datenschutzinformation

Gelegentlich aktualisieren wir diese Datenschutzinformation, beispielsweise wenn wir unsere Website anpassen oder sich die gesetzlichen oder behördlichen Vorgaben ändern.